Защищаем веб сервис

  • 12 January 2010
  • taku

Дано www сервис
при сканировании хоста выявляется информация о версии php
эти данные скрываем путем исправления в php.ini
expose_php On на expose_php Off
сама директива определяет, разрешено ли PHP выдавать факт своего присутствия на сервере (напри
аголовок веб-сервера). Ни в коей мере это не является угрозой безопасности, но это даёт возможность определить, используете ли вы PHP на своём сервере.

так же при сканировании хоста выявляется версия apache
скрыть это можно путем внесения изменений в конфигурационный файл
Отвечает за отображение информации о сервере в http заголовках. Собственно смотрим, и решаем что нам надо:
ServerTokens Prod Server: Apache
ServerTokens Major Server: Apache/2
ServerTokens Minor Server: Apache/2.0
ServerTokens Minimal Server: Apache/2.0.55
ServerTokens Os Server: Apache/2.0.55 (Ubuntu)
ServerTokens Full Server: Apache/2.0.55 (Ubuntu) PHP/5.1.4-1.dotdeb.2 my_mod1/X.Y my_mod2/W.Z
ставим ServerTokens Prod

ServerSignature
Отвечает за вывод инфы на информационные страницы (404, 500, 403 и т.д.) Может принимать следующие значения:
ServerSignature On Apache/2.0.59 (Ubuntu) PHP/4.3.10 Server at 127.0.0.2 Port 80
ServerSignature Off
ServerSignature Email Apache/2.0.59 (Ubuntu) PHP/4.3.10 Server at 127.0.0.2 Port 80

Разница On и Email заключается в ссылке mailto на виртуальном хосте.
ставим ServerSignature Off

Комментарии

Добавить комментарий

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.